SwapNetは、攻撃者がユーザーが重要なセキュリティ機能を無効にして継続的なトークンの権限を与えた妥協されたルーター契約を利用したため、約1680万ドルの暗号資産を失いました。
何が起こったのか:DEXアグリゲーターの脆弱性
セキュリティ会社PeckShieldは、Matcha Metaを通じてアクセス可能なSwapNetに関連する活動を標的とした攻撃を報告しました。これは、0xチームが開発したDEXのメタアグリゲーターです。この脆弱性は、0xの「ワンタイム承認」システムを無効にしたユーザーに影響を与え、基盤となるアグリゲーション契約への直接的な権限を与えました。
Baseネットワーク上で、攻撃者は約1050万ドルをUSDC(USDC)に変換し、約3,655 Ether(ETH)に変換した後、資金をEthereum(ETH)に移しました。
この手法は、追跡の努力を複雑にするために使用される一般的な戦術です。
「特定のMatcha Metaのユーザーがワンタイム承認を無効にしていたため、SwapNetに関与するインシデントについて認識しています」とMatcha Metaは声明で述べました。プラットフォームは、ユーザーが取り消す必要がある最も緊急な権限としてSwapNetのルーター契約(0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e)を特定しました。
こちらもお読みください:韓国の検察はフィッシング攻撃により4700万ドルの押収ビットコインを失う
なぜ重要か:持続的なDeFiの脆弱性
このインシデントは、利便性とセキュリティの間にある根本的な緊張を浮き彫りにしています。ワンタイム承認は、ユーザーに各取引を個別に検証させ、持続的な攻撃面を減少させますが、頻繁なトレーダーには摩擦を加えます。無制限の承認は、ユーザーの資金へのスマートコントラクトの継続的なアクセスの代わりに迅速さを提供します。
SwapNetは、技術的な死後報告書をまだ公開しておらず、影響を受けたユーザーが補償されるかどうかも示していません。
同じ日に、セキュリティ監査人Pashovは、約37 WBTC(WBTC)、価値310万ドル以上の資金に関連する、わずか41日前に展開された未検証の契約に関与するEthereumのメインネット上での別の脆弱性を報告しました。
約1ヶ月前、DeFiコミュニティはTrust Walletのハッキングに衝撃を受けました。
Trust Walletは、約700万ドルの暗号通貨がブラウザ拡張機能の妥協されたアップデートを介して盗まれたことを確認しました。この脆弱性は、12月24日に公開されたChrome拡張機能のバージョン2.68のみに影響を与えました。幸い、モバイルアプリのユーザーには影響がありませんでした。Trust Walletの所有者であるBinanceの創設者Changpeng Zhaoは、財布が影響を受けたすべてのユーザーを補償することを述べました。
次に読むべき記事:なぜクジラはSeekerを購入し、スマートマネーは売却しているのか?
